LAPORAN PENELITIAN DOSEN PEMULA

KODE/RUMPUN ILMU: 123/ILMU KOMPUTER

LAPORAN PENELITIAN DOSEN PEMULA

Evaluasi Keamanan Sistem Informasi Pada Lembaga Pemerintahan Provinsi Sumatera Selatan

TIM PENGUSUL IRWANSYAH, MM. , M.Kom TIMUR DALI PURWANTO, M.KOM

NIDN : 0223047003 NIDN : 0203108505

UNIVERSITAS BINA DARMA NOVEMBER 2015

RINGKASAN Perkembangan serta penggunaan teknologi informasi yang sangat cepat, maka semakin banyak pula aplikasi-aplikasi yang dibutuhkan oleh pengguna, seperti aplikasi di dunia perdagangan bebas secara elektronik (electronic commerce), pendidikan (electronic education), penyelenggaraan pemerintahan (electronic government), dan sebagainya. Keamanan data elektronik menjadi hal yang sangat penting di perusahaan seperti: perusahaan export-import, tranportasi, lembaga pendidikan, pemberitaan, lembaga pemerintahan, hingga perbankan. Informasi atau data adalah aset bagi perusahaan ataupun lembaga pemerintahan. Tingkat ketergantungan organisasi ataupun perusahaan – perusahaan pada sistem informasi menimbulkan salah satu risiko adalah risiko keamanan informasi, dimana informasi menjadi suatu yang penting yang harus tetap tersedia dan dapat digunakan, serta terjaga keberadaannya dari pihak yang tidak berwenang. Dari permasalahan ini peneliti akan mengevaluasi keamanan sistem informasi di Lembaga Pemerintahan Provinsi Sumatera Selatan yaitu dari aspek privacy atau Confidentiality, Integrity, Autentication, serta Avaibility. Adapun tahapan evaluasi yang terdiri dari Scanning Vulnerability Web, penetrasi testing dan klasifikasi kerentanan sistim informasi. Pada penelitian ini menggunakan metode Action Research sebagai tahapan penelitian.

Kata Kunci: Keamanan Sistem Informasi, Data Elektronik, Vulnerability

PRAKATA Syukur alhamdulillah dipanjatkan kepada Allah SWT yang telah memberikan rahmat dan karuniaNya, sehingga penelitian dosen pemula dengan judul “Evaluasi Keamanan Sistem Informasi Pada Lembaga Pemerintahan Provinsi Sumatera Selatan”dapat mencapai kemajuan sampai sejauh ini. Program Penelitian Dosen Pemula dimaksudkan sebagai kegiatan penelitian dalam rangka membina dan mengarahkan para peneliti pemula untuk meningkatkan kemampuannya dalam melaksanakan penelitian di perguruan tinggi. Dalam menyelesaikan penelitian ini penulis mendapatkan berbagai masukan yang berguna demi kesempurnaan. Untuk itu penulis sampaikan terima kasih yang tak terhingga atas peran dan bantuan yang tak ternilai dari berbagai pihak yang tidak dapat penulis sebutkan satu persatu. Penulis menyadari sepenuhnya bahwa penelitian ini masih jauh dari kesempurnaan baik isi maupun penyampaiannya. Akhirnya penulis berharap semoga penelitian ini bermanfaat bagi pengembangan ilmu pengetahuan serta dapat dimanfaatkan oleh semua pihak yang memerlukannya.

Palembang,

Penulis

November 2015

DAFTAR ISI Halaman HALAMAN JUDUL

i

HALAMAN PENGESAHAN

ii

PRAKATA

iii

ABSTRAK

iii

DAFTAR ISI

iv

DAFTAR GAMBAR

v

DAFTAR TABEL

vi

BAB I PENDAHULUAN

1

1.1

Latar belakang.

1

1.2

Rumusan masalah

2

BAB II TINJAUAN PUSTAKA 2.1. Vulnerability Assessment

3

2.2

Aspek – aspek Keamanan Sistem Informasi

4

2.3

Security Attack Models

6

2.4

Jenis-jenis Ancaman

6

2.5

Internet

7

2.6

Teknik-Teknik Attacking

8

3

BAB III TUJUAN DAN MANFAAT PENELITIAN

10

3.1.

Tujuan Penelitian

10

3.2.

Manfaat Penelitian

10

BAB IV METODE PENELITIAN

11

4.1.

Tempat Penelitian dan Objek Penelitian

11

4.2.

Pengumpulan Data

11

4.2.1 Data Primer

11

4.2.2 Data Sekunder

12

4.3.

Rancangan Penelitian

12

4.4.

Metode Analisis Data

14

4.5.

Alat Analisis

15

4.6.

Alat dan Bahan

16

BAB V HASIL YANG DI CAPAI

17

5.1

Survei Action Objek

17

5.2

Pengolahan Diagnosa

17

5.2.1 Website Target Sistem Informasi Penataan Ruang Kota

17

Lubuklinggau 5.2.1.1 XSSER

18

5.2.1.2 Hasil Scaning Menggunakan OWASP ZAP

19

5.2.1.3 SQLmap Tools

19

5.2.1.4 SQL Injection Me

20

5.2.1.5 Nmap Tools

21

5.2.1.6 RESTclient Tools

22

5.2.1.7 Burp Swite

24

5.2.1.8 Armitage Tools

24

5.2.1.9 Hydra Tools

26

5.2.2 Website Target Reporting & Monitoring SPSE LPSE Kota

29

Lubuklinggau 5.2.2.1 Burp Swite

29

5.2.2.2 SQLmap

32

5.2.2.3 SQL Injection Me

34

BAB VI PEMBAHASAN HASIL

35

6.1. Pembahasan (Evaluasi)

35

6.2. Learning (Pembelajaran)

36

BAB VII SIMPULAN DAN SARAN

37

DAFTAR RUJUKAN LAMPIRAN

DAFTAR TABEL

Halaman Tabel 4.1 Rancangan Penelitian

12

Tabel 6.1 Tabel perbandingan vulnerability pada portal website Monitoring

35

dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang (SIPR) di sebabkan Software Error Tabel 6.2. Tabel perbandingan vulnerability pada portal website Monitoring

36

dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang (SIPR) di sebabkan Security Error Tabel 6.3. Tabel perbandingan vulnerability pada portal website Monitoring dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang (SIPR) di sebabkan Human Error

37

DAFTAR GAMBAR Halaman Gambar 5.1

XSSER Result

18

Gambar 5.2

Hasil Scanning OWASP ZAP Tools

19

Gambar 5.3

SQLmap Proccess

20

Gambar 5.4

SQL Injection Me Test Results

21

Gambar 5.5

Hasil Scanning Port Menggunakan Nmap Tools

22

Gambar 5.6 Gambar 5.7

HTTP Request Menggunakan RESTclient Tampilan website http://sipr.lubuklinggaukota.go.id pada port 8080 Burp Suite Tools

22

Gambar 5.8

23 24

Gambar 5.9 Tampilan Armitage Proccess Gambar 5.10 Hydra Proccess pada Port 22 SSH

25

Gambar 5.11 Hydra Proccess pada Port 80 HTTP

27

Gambar 5.12 Percobaan Autentikasi login

28

Gambar 5.13 Hydra Proccess pada Port 8080 HTTP-Proxy

29

Gambar 5.14 Response Website Target

30

Gambar 5.15 Response pada Tab Target

31

Gambar 5.16 Tampilan dari 121.100.28.196/report/application/login

31

Gambar 5.17 Tampilan dari

32

26

121.100.28.196/report/application/login/byUsernameAndPassword Gambar 5.18 SQLmap Result

33

Gambar 5.19 SQL Injection Me Test Results

34

BAB I PENDAHULUAN 1.1. Latar Belakang Sejalan dengan laju pertumbuhan penggunaan teknologi informasi yang sangat cepat, maka semakin banyak pula aplikasi-aplikasi yang dibutuhkan oleh pengguna, seperti pada aplikasi di dunia perdagangan bebas secara elektronik (electronic commerce), pendidikan (electronic education), penyelenggaraan pemerintahan (electronic government), dan sebagainya. Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia jasa teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan exportimport, tranportasi, lembaga pendidikan, pemberitaan, lembaga pemerintahan, hingga perbankan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur kritikal (penting). Informasi atau data adalah aset bagi perusahaan ataupun lembaga pemerintahan. Pada Lembaga Pemerintahan Provinsi Sumatera Selatan sekarang ini hampir semua aktifitas pekerjaan sudah menggunakan sistim informasi sebagai alat bantu pekerjaan. Tingkat ketergantungan organisasi ataupun perusahaan – perusahaan pada sistem informasi menimbulkan salah satu risiko adalah risiko keamanan informasi, dimana informasi menjadi suatu yang penting yang harus tetap tersedia dan dapat digunakan, serta terjaga keberadaannya dari pihak yang tidak berwenang yang akan menggunakannya untuk kepentingan tertentu atau akan merusak informasi tersebut. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan return on investment dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing maka semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan. Berdasarkan hasil riset dan survey serta berbagai laporan tentang kejahatan komputer yang terjadi sejauh ini, diketahui bahwa tidak ada satu pun sistem informasi yang diasumsikan 100 persen aman dari serangan virus komputer, spam, e-mail bomb, atau diterobos langsung oleh para hackers. Sangat sulit mencari angka yang pasti tentang peristiwa kejahatan seperti ini karena banyak menyangkut publikasi negatif pada suatu keamanan sistem informasi. Pada penelitian ini, peneliti akan mengevaluasi keamanan sistem informasi yang ada pada lembaga pemerintahan di Provinsi Sumatera Selatan sebagai pengguna sistem informasi. Evaluasi keamanan sistem informasi yang akan dianalisis yaitu dari aspek privacy, dimana

data – data yang bersifat privat dari orang yang tidak berhak mengakses, misalnya user atau password seseorang. Kemudian dari aspek Integrity, Authentication dan Avaibility. 1.2. Rumusan Masalah Berdasarkan latar belakang di atas, maka perumusan masalah yang akan dikaji dalam penelitian ini adalah “bagaimana mengevaluasi keamanan sistem informasi pada lembaga pemerintahan di Provinsi Sumatera Selatan”

BAB II TINJAUAN PUSTAKA 2.2. Vulnerability Assessment Vulnerability atau celah keamanan adalah suatu kelemahan yang mengancam nilai integrity, confidentiality dan availability dari suatu aset.Vulnerability tidak hanya berupa software bugs atau kelemahan security jaringan. Namun kelemahan seperti pegawai yang tidak ditraining, dokumentasi yang tidak tersedia maupun prosedur yang tidak dijalankan dengan benar.Vulnerability biasa dikategorikan ke dalam tiga bagian, yaitu kelemahan pada system itu sendiri, jalur akses menuju kelemahan sistem, serta kemampuan dari seorang hacker untuk melakukan attacking. (Hanif Santoso, dkk, 2008:2) Pengukuran atau assessment adalah hal yang mutlak dilakukan untuk mendapatkan peningkatan kualitas.Suatu perusahaan dapat meningkatkan penjualannya bila mengetahui bagaimana efisiensinya. Dengan adanya pengukuran makan perusahaan dapat mengetahui kelemahan yang ada, membandingkannya dengan contoh penerapan diperusahaan lain dan ujungnya adalah peningkatan keuntungan perusahaan. (Anjar Priandoyo, 2006). Vulnerability Assessment (VA) adalah analisa keamanan yang menyeluruh serta mendalam terhadap berbagai dokumen terkait keamanan informasi, hasil scanning jaringan, konfigurasi pada sistem, cara pengelolaan, kesadaran keamanan orang-orang yang terlibat dan keamanan fisik, untuk mengetahui seluruh potensi kelemahan kritis yang ada. Vulnerability Assessment (VA) bukan sekedar melakukan scanning dari jaringan menggunakan Vulnerability Assessment tool.Hasil Vulnerability Assessment (VA) jauh berbeda dengan pentest blackbox dan greybox. Kedua jenis pentest ini tidak mampu memberikan hasil yang komprehensif karena tidak seluruh potensi kerentanan kritis akan teridentifikasi. Bahkan ditemukan dalam banyak kasus, hasil pentest blackbox melaporkan tidak adanya kelemahan kritis, namun saat dilakukan Vulnerability Assessment (VA) terdapat beberapa kelemahan kritis (Lumy.2010 ).

Kelemahan pada website atau aplikasi berbasis web dapat dikategorikan menjadi 4 tingkatan, yaitu: 1.

Sangat Tinggi : pada level ini terdapat kelemahan yang berpotensial tinggi menjadi ancaman sedangkan fitur ataupun langkah untuk tingkat pencegahan maupun penanganannya tidak memadai.

2.

Tinggi : pada level ini scoop kelemahan lebih kecil dibandingkan level sebelumnya. Bersifat lokal. Namun, upaya pencegahan dan penanganan masih tidak memadai.

3.

Sedang : pada level ini tingkatan kelemahan bersifat lokal dan upaya penanganan dan pencegahan pun bersifat lokal.

4.

Rendah : tingkat kelemahan rendah dan upaya pencegahan dan penanganan yang diharapkan pun sangat memadai. Kegiatan Vulnerability Assessment ini sangat dianjurkan untuk dilakukan secara rutin.

Bisa dilakukan per minggu atau perbulan. Hal ini dikarenakan trend ancaman atau serangan selalu berkembang. Mulailah sedini mungkin untukaware melakukan hal-hal kecil yang bisa menjaga keamanan sistem informasi kita karena satu hal yang pasti adalah tidak ada satupun yang aman di dunia maya. (GOV-CSIRT, 2012).

2.3. Aspek – aspek Keamanan Sistem Informasi Menurut dari Simson Garfinkel "PGP : Pretty Good Privacy", O'Reilly & Associ-ates, Inc, 1995 bahwa Aspek – aspek keamanan komputer dapat dibedakan menjad i, antara lain : a) Privacy / Confidentiality Yaitu menjaga informasi dari orang yang tidak berhak mengakses, yang dimana lebih ke arah data-data yang bersifat privat, contohnya : Email seorang pemakai (user) tidak boleh dibaca oleh administrator. Sedangkan Confidentiality berhubungan dengan data yang

diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contohnya : data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number,agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya. Adapun bentuk serangan dalam bentuk usaha penyadapan (dengan program Sniffer), sedangkan usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi. b) Integrity Yaitu informasi tidak boleh diubah tanpa seijin pemilik informasi. Contohnya : E-mail di Intercept ditengah jalan, diubah isinya, kemudian diteruskan kealamat yang dituju. Adapun bentuk serangan yang dilakukan adanya virus, trojan horse atau pemakai lain yang mengubah informasi tanpa ijin, "Man in the middle attack" dimana seseorang menempatkan diri ditengah pembicaraan dan menyamar sebagai orang lain. c) Authentication Yaitu metode untuk menyatakan bahwa informasi betul-betul asli atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Dapat menggunakan dukungan tools yang membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermaking (untuk menjaga "Intellectual Property" yaitu dengan menandai dokumen atau hasil karya dengan "tanda tangan" pembuat) dan digital signature. Acces Control, yaitu berkaitan dengan pembatasan orang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang) dna sejenisnya. d) Avaibility

Yaitu behubungan dengan ketersediaan informasi ketika dibutuhkan. Adapun ancaman yang dapat terjadi meliputi : Denial Of Service Attack (DoS Attack) dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. 2.4. Security Attack Models Menurut W. Stallings [William Stallings, “Network and Internetwork Security,” Prentice Hall, 1995.] serangan (attack) terdiri dari : 1. Interruption Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”. 2. Interception Pihak yang tidak berwenang berhasil mengakses asset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping). 3. Modification Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan‐pesan yang merugikan pemilik web site.

2.5. Jenis-jenis Ancaman 1. DOS/DDOS Denial of Services dan Distributed Denial of Services adalah sebuah metode serangan yang bertujuan untuk menghabiskan sumber-daya sebuah peralatan jaringan komputer, sehingga layanan jaringan komputer menjadi terganggu. 2. Packet Sniffing Packet Sniffing adalah sebuah metode serangan dengan cara mendengarkan seluruh paket yang lewat pada sebuah media komunikasi, baik itu media kabel maupun radio. Setelah paket-paketyang lewat itu didapatkan, paket-paket tersebut kemudian disusun ulang

sehingga data yang dikirimkan oleh sebuah pihak dapat dicuri oleh pihak yang tidak berwenang. 3. IP Spoofing IP Spoofing dilakukan dengan cara merubah alamat asal sebuah paket, sehingga dapat melewati perlindungan firewall. 4. Forgery Salah satu cara yang dapat dilakukan oleh seseorang untuk mencuri data-data penting orang lain adalah dengan cara melakukan penipuan. Salah satu bentuk penipuan yang bisa dilakukan adalah dengan cara membuat sebuah website tiruan (misalkan meniru klikbca.com), lalu memancing pihak yang ingin ditipu untuk meng-akses website palsu tersebut. Setelah kita memiliki data-data yang diperlukan, kita dapat melakukan akses ke website yang asli sebagai pihak yang kita tipu.

2.5. Internet Internet merupakan kepanjangan dari Interconnection Networking. Menurut Jill. H. Ellsworth dan Matthew. V. Ellsworth : “Internet is : large interconnected network of network computer linking people and computer all over the world, via phone line, satellites and other telecommunication systems”. Pengertiannya adalah internet adalah jaringan besar yang saling berhubungan dari jaringan-jaringan komputer yang menghubungkan orang-orang dan komputerkomputer diseluruh dunia, melalui telepon, satelit dan sistem-sistem komunikasi yang lain. Internet dibentuk oleh jutaan komputer yang terhubung bersama dari seluruh dunia, memberi jalan bagi informasi untuk dapat dikirim dan dinikmati bersama. Untuk dapat bertukar informasi, digunakan protocol standar yaitu Transmision Control Protocol dan internet Protocol yang lebih dikenal sebagai TCP/IP.

2.6 Teknik-Teknik Attacking Terdapat banyak sekali tipe dan jenis serangan yang terjadi di dunia maya. Sesuai dengan sifat dan karakteristiknya, semakin lama model serangan yang ada semakin kompleks dan sulit dideteksi maupun dicegah. Berikut adalah beberapa jenis model serangan yang kerap terjadi.(Richardus:1,_). 1.

SQL Injection Pada dasarnya SQL Injection merupakan cara mengeksploitasi celah keamanan yang

muncul pada level atau “layer” database dan

aplikasinya. Celah keamanan tersebut

ditunjukkan pada saat penyerang memasukkan nilai “string” dan karakter-karakter contoh lainnya yang ada dalam instruksi SQL; dimana perintah tersebut hanya diketahui oleh sejumlah

kecil

individu

(baca:

hacker

maupun

cracker)

yang

berusaha

untuk

mengeksploitasinya. Karena tipe data yang dimasukkan tidak sama dengan yang seharusnya (sesuai dengan kehendak program), maka terjadi sebuah aktivitas “liar” yang tidak terduga sebelumnya2 - dimana biasanya dapat mengakibatkan mereka yang tidak berhak masuk ke dalam sistem yang telah terproteksi menjadi memiliki hak akses dengan mudahnya. Dikatakan sebagai sebuah “injeksi” karena aktivitas penyerangan dilakukan dengan cara “memasukkan” string (kumpulan karakter) khusus untuk melewati filter logika hak akses pada website atau sistem komputer yang dimaksud. Contoh-contoh celah kerawanan yang kerap menjadi korban SQL Injection adalah: a.

Karakter-karakter kendali, kontrol, atau filter tidak didefinisikan dengan baik dan benar (baca: Incorrectly Filtered Escape Characters);

b.

Tipe pemilihan dan penanganan variabel maupun parameter program yang keliru (baca: Incorrect Type Handling);

c.

Celah keamanan berada dalam server basis datanya (baca: Vulnerabilities Inside the Database Server);

d.

Dilakukan mekanisme penyamaran SQL Injection (baca: Blind SQL Injection); dan lain sebagainya.

2.

XSS (Cross Site Scripting) Cross Site Scripting (CSS) adalah suatu serangan dengan menggunakan mekanisme

“injection” pada aplikasi web dengan memanfaatkan metode HTTP GET atau HTTP POST. Cross Site Scripting biasa digunakan oleh pihak-pihak yang berniat tidak baik dalam upaya mengacaukan konten website dengan memasukkan naskah program (biasanya java script) sebagai bagian dari teks masukan melalui formulir yang tersedia. 3.

Missing Function Level Access Control Hampir semua aplikasi web memverifikasi fungsi tingkat hak akses sebelum membuat

fungsi yang terlihat di UI. Namun, aplikasi perlu ditampilkan untuk memeriksa kontrol akses yang sama pada server ketika setiap fungsi diakses.Jika permintaan tidak diverifikasi, penyerang akan dapat melakukan permintaan mengakses fungsi yang tidak sah. 4.

Brute Force Attack Serangan brute-force adalah sebuah teknik serangan terhadap sebuah sistem keamanan komputer yang menggunakan percobaan terhadap semua kunci yang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia. Sebagai contoh, untuk menyelesaikan sebuah persamaan kuadrat seperti x²+7x-44=0, di mana x adalah sebuah integer, dengan menggunakan teknik serangan brute force, penggunanya hanya dituntut untuk membuat program yang mencoba semua nilai integer yang mungkin untuk persamaan tersebut hingga nilai x sebagai jawabannya muncul. Istilah brute force sendiri dipopulerkan oleh Kenneth Thompson, dengan mottonya: "When in doubt, use brute-force" (jika ragu, gunakan brute-force).

BAB III TUJUAN DAN MANFAAT PENELITIAN

3.1. Tujuan Penelitian Tujuan dari penelitian ini adalah untuk mengetahui sejauh mana keamanan sistem informasi yang digunakan atau diterapkan pada lembaga pemerintahan yaitu Pemrov Sumsel, yang ditinjau dari aspek keamanan sistem informasi, yaitu : Aspek Privacy atau Confidentiality, Integrity, Autentication, serta Avaibility”. 3.2. Manfaat Penelitan Adapun

manfaat dari penelitian keamanan system informasi pada lembaga

pemerintahan Sumatera Selatan ini antara lain: dapat dijadikan sebagai bahan informasi dan kajian ulang dalam mengelola, memperbaiki serta mengembangkan Keamanan Sistem Informasi yang digunakan di semua lembaga pemerintahan khususnya Pemrov Sumel. Sehingga terbebas atau aman dari ancaman dan gangguan dari penyusup yang berasal dari internal dan external sistem.

BAB IV METODE PENELITIAN

4.1. Tempat dan Objek Penelitian Penelitian dilakukan di Kantor Badan Perencanaan Pembangunan Daerah (BAPPEDA) dan Layanan Pengadaan Secara Elektronik (LPSE) Kota Lubuklinggau pada bulan Januari 2015 – April 2015, dengan mengikuti jam kerja kantor.

4.2. Pengumpulan Data Dalam penelitian ini metode pengumpulan data yang digunakan adalah sebagai berikut : 4.2.1. Data Primer 1. Pengamatan (Observasi) Penulis mengadakan peninjauan langsung ke Kantor Badan Perencanaan Pembangunan Daerah (BAPPEDA) dan Kantor Layanan Pengadaan Secara Elektronik (LPSE) Kota Lubuklinggau khususnya di bagian IT yang merupakan pusat sitem informasi di kantor tersebut. Data dikumpulkan dengan

melakukan pengamatan dan pencatatan terhadap

server website. 2. Wawancara (Interview). Untuk mendapatkan informasi dan data-data yang berhubungan dengan penelitian ini maka penulis mengajukan beberapa pertanyaan kepada tim IT pada Kantor Badan Perencanaan Pembangunan Daerah (BAPPEDA) dan Layanan Pengadaan Secara Elektronik (LPSE) Kota Lubuklinggau guna untuk mempermudah penelitian.

4.2.2. Data Sekunder Data sekunder diperoleh penulis dengan melakukan studi kepustakaan (literature) yaitu dengan mencari bahan dari internet, jurnal dan perpustakaan serta buku yang sesuai dengan objek yang akan diteliti. e.

Rancangan Penelitian Tabel 4.1 Rancangan Penelitian Perihal

Deskripsi

Topik

Analisis dan mengidentifikasi kerentanan terhadap Portal Website, Monitoring dan Reporting SPSE LPSE pada Sistem Informasi Penataan Ruang (SIPR) di Sumatera Selatan khususnya pada Kota Lubuklinggau yang disetujui yang mempunyai sub domain http://reportspse.lubuklinggaukota.net dan http://sipr.lubuklinggaukota.go.id .

Masalah

Bagaimana mengidentifikasi kerentanan terhadap sub domain Portal Website Kota Lubuklinggau.

Metode Yang

Action Research (Penelitian Tindakan)

Digunakan Tipe dan Desain Penelitian • Tipe penelitian

Field Research

• Desain penelitian

Field Research yaitu melakukan penelitian ke lapangan dengan mendatangi langsung objek yang akan diteliti. Adapun tahapan penelitian yang merupakan siklus dari field research ini, yaitu : 1. Melakukan diagnosa (Diagnosing) Dalam

melakukan

diagnosa

kebutuhan

perangkat

yang

diperlukan dalam mengidentifikasi kerentanan (Vulnerability) pada sub domain Portal Website Kota Lubuklinggau.

2. Membuat rencana tindakan (Action Planning) Kemudian merencakan tindakan yang akan dilakukan untuk mengidentifikasi kerentanan pada sub domain Portal Website Kota Lubuklinggau. Dengan pengambilan data awal berupa Information Gathering serta scanning vulnerability tools pada sub domain Portal Website Kota Lubuklinggau. 3. Melakukan tindakan (Action Taking) Mengimplementasikan rencana tindakan berdasarkan rencana yang telah di susun. Pada tahap awal melakukan Information Gathring, mengumpulkan informasi tentang celah kerentanan sub domain Portal Web Kota Lubuklinggau dan melakukan scanning vulnerability tools misalnya menggunakan : Whatweb, Vega, OWASP-ZAP, W3AF, Acunetix dan Nikto. Secara garis besar scanning tools melakukan pencarian celah Vulnerability dari target serta mengatur mode serangan, membongkar url yang ada pada website, menemukan error, cookies dan email pada website serta menemukan jejak admin. 4. Melakukan evaluasi (Evaluating) Setelah dilakukan implementasi (action taking) selanjutnya melakukan evaluasi pada hasil dari implementasi sebelumnya dan mulai mengevaluasi hasil dari langkah sebelumnya. 5. Pembelajaran (Learning) langkah ini merupakan tahap akhir yaitu melakukan review dan menjalankan prosedur terakhir yaitu Documentation dan Reporting, terhadap hasil dari tahapan-tahapan yang telah

dilalui. Perencanaan Penelitian • Subjek

WEB

SITE

Portal

dan

sub

domain

Badan

Perencanaan

Pembangunan Daerah (BAPPEDA) dan Layanan Pengadaan Secara Elektronik (LPSE) Kota Lubuklinggau . • Peralatan

Peralatan pengujian yaitu berupa Whatweb, Vega, OWASP-ZAP, W3AF, Acunetix dan Nikto

• Prosedur

Tahapan awal adalah melakukan pengumpulan informasi atau Information Gathering sebagai data awal untuk menentukan tindakan lebih lanjut, melakukan evaluasi dengan cara melihat jenis kerentanan yang terdapat pada portal website Monitoring dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang, kemudian melakukan penutupan terhadap celah kerentanan yang di temukan.

• Teknik Analisis

Dengan menerapkan Metode penutupan celah kerentanan dengan cara patching bugs, atau memperbaiki kesalahan pada coding script dan hak akses. Rekomendasi perbaikan akan diberikan pada portal website Monitoring dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang seperti script yang benar, rekomendasi jenis password dan jenis enkripsi yang baik, mengatur extensi file pada fasilitas upload/menghapus fasilitas upload yang rentan.

4.5 Metode analisis data Data-data yang telah terkumpul selanjutnya di analisis dengan menggunakan metode kualintatif. Menurut Dwiyanto (2006) metode kualintatif adalah tata cara pengumpulan data yang lazim yaitu melalui studi pustaka dan studi lapangan, dilanjutkan oleh rahayu (2000)

laporan hasil penelitian kualitatif selalu panjang lebar, karena memang tujuan penelitian kualitatif adalah menghayati dan membuat orang lain memahami masalah yang diteliti. Data penelitian studi pustaka dan studi lapangan didapatkan dengan memfokuskan pengumpulan data atau Information Gathering dan analisis vulnerability serta action planning yang merupakan rangkaian dari tindakan yang telah dan akan dilakukan pada web Monitoring dan Reporting SPSE LPSE pada Sistem Informasi Penataan Ruang (SIPR) di Sumatera Selatan khususnya pada Kota Lubuklinggau yang mempunyai sub domain http://reportspse.lubuklinggaukota.net

dan

http://sipr.lubuklinggaukota.go.id,

dengan

membatasi tiga jenis vulnerability yaitu, Cross-Site Scripting, ClearText Password Over HTTP, SQL Injection. Maka pada tahap ini peneliti akan mencoba melakukan exploitasi terhadap vulnerability tersebut.

4.6 Alat Analisis Menurut Rahadi (2010), Tujuan pokok suatu penelitian adalah untuk menjawab pertanyaan dan hipotesis. Untuk itu peneliti merumuskan hipotesis, mengumpulkan data, memproses data, membuat analisis dan interpretasi. Analisis data belum dapat menjawab pertanyaan penelitian. Setelah data dianalisis dan diperoleh informasi yang lebih sederhana, hasil analisis tersebut harus diinterpretasi untuk mencari makna dan implikasi dari hasil analisis tersebut. Analisa data adalah mengelompokkan, membuat suatu urutan, memanipulasi serta menyingkatkan data sehingga mudah untuk dibaca. Step pertama dalam analisa adalah membagi data atas kelompok atau kategori-kategori, kategori tidak lain dari bagian-bagian. Alat analisis data yang di gunakan dalam penelitian ini melakukan exploitasi terhadap vulnerability dengan menggunakan tools berikut ini: 1. XSSER tools berfungsi untuk melakukan inject script melalui Cross-Site Scripting vulnerability. 2. SQLmap merupakan tools penetrasi yang berfungsi melakukan otomatisasi proses deteksi dan exploitasi kelemahan SQL Injection serta memungkinkan untuk mengambil alih database server. 3. Nmap yang berfungsi untuk melakukan scanning port serta mencari tahu mengenai potensial method yang bisa digunakan untuk melakukan exploitasi 4. RESTclient berfungsi untuk memastikan HTTP Request yang aktif pada website target. 5. Armitage berfungsi untuk medeteksi vulnerability dan melakukan epxloitasi secara otomatis melalui vulnerability yang telah terdeteksi.

6. Hydra tools berfungsi untuk mendeteksi password yang match untuk administrator website. 7. Burp Suite merupakan tools pengujian keamanan aplikasi web yang bekerja secara keseluruhan, dari pemetaan awal untuk menemukan dan mengeksploitasi kerentanan keamanan.

4.7 Alat dan Bahan Alat dan bahan penelitian yang digunakan dalam penelitian ini adalah sebagai berikut: 1.

Peralatan Penelitian Satu unit Laptop dengan spesifikasi : a.

Processor Intel® Dual-Core CPU T4200 @ 2.00 GHz

b.

RAM 3 GB

c.

Hardisk 250 GB

d.

Wi-Fi Broadcom 802.11 b/g Wlan NIDS 5.1

e.

Access Point 802.11 G yang menggunakan DDWRT

f.

Printer Brother BJC210

2. Bahan Penelitian a. Data hasil information gathering. b. Data hasil exploitasi. c. Data hasil vulnerability.

BAB V HASIL YANG DICAPAI

5.1. Survei Action Objek Pada tahapan ini survey dilakukan secara random semua kabupaten di Sumatera Selatan jatuh pada objek tempat yaitu BAPPEDA dan Layanan Pengadaan Secara Elektronik (LPSE) Kota Lubuk Linggau. 5.2. Hasil Diagnosa Untuk menghasilkan diagnosing yang meliputi information gathering dan scaning yang dilakukan pada tahap awal ini, peneliti menetapkan tiga jenis tool untuk vulnerability yaitu, Whois Domain Tools, Builtwith Tools dan Nmap Tools Maka pada tahap ini peneliti akan mencoba melakukan information gathering (pengumpulan informasi) terhadap website target dan analisa vulnerability tersebut sebagai berikut: 5.2.1. Website Sistem Informasi Penataan Ruang Kota Lubuklinggau Website http://sipr.lubuklinggaukota.go.id dengan interface yang dapat dilihat pada Gambar 5.1 di bawah ini.

Gambar 5.1 Website Sistem Informasi Penataan Ruang

5.2.1.1. Information Gathering Menggunakan Whois Domain Tools Whois domain tools merupakan tools yang digunakan secara online dengan cara menginputkan http://sipr.lubuklinggaukota.go.id pada dialog search yang tersedia pada tools tersebut. Maka didapatlah informasi seperti pada Gambar 5.2 berikut ini.

Gambar 5.2 Informasi yang didapat setelah menggunakan Whois Domain Tools

5.2.1.2. Information Gathering Menggunakan Builtwith Tools Builtwith Tools merupakan tools yang digunakan secara online dengan cara menginputkan http://sipr.lubuklinggaukota.go.id pada dialog search yang tersedia pada tools tersebut. Maka didapatlah informasi seperti pada Gambar 5.3 di bawah ini..

Gambar 5.3 Informasi yang didapat setelah menggunakan Builtwith Tools

5.2.1.3. Information Gathering Menggunakan Nmap Tools Nmap digunakan untuk melakukan analisis atau penguraian untuk mengetahui port apa saja yang terbuka pada website yang telah menjadi target, hasil dari Nmap tools dapat dilihat pada Gambar 5.4 di bawah ini.

Gambar 5.4 Informasi yang didapat setelah Nmap Tools

Dari gambar di atas maka didapatlah informasi mengenai port yang terbuka pada website report.lpse.lubuklinggaukota.net.

5.2.2.

Website Monitoring & Reporting SPSE LPSE Kota Lubuklinggau. website http://report.lpse.lubuklinggaukota.go.id dengan interface yang dapat dilihat

pada Gambar 5.5 berikut:

Gambar 5.5 Interface Website Monitoring & Reporting SPSE LPSE Kota Lubuklinggau 5.2.2.1. Information Gathering Menggunakan Whois Domain Tools Whois domain tools merupakan tools yang digunakan secara online dengan cara menginputkan http://report.lpse.lubuklinggaukota.net pada dialog search yang tersedia pada tools tersebut. Maka didapatlah informasi seperti pada Gambar 5.6 di bawah ini.

Gambar 5.6 Informasi yang didapat setelah menggunakan Whois Domain

5.2.2.2. Information Gathering Menggunakan Builtwith Tools. Builtwith Tools merupakan tools yang digunakan secara online dengan cara menginputkan http://report.lpse.lubuklinggaukota.net pada dialog search yang tersedia pada tools tersebut. Maka didapatlah informasi seperti pada Gambar 5.7 berikut:

Gambar 5.7 Informasi yang didapat setelah menggunakan Builtwith Tools

5.2.2.3. Information Gathering Menggunakan Nmap Tools Nmap digunakan untuk melakukan analisis atau penguraian untuk mengetahui port apa saja yang terbuka pada website yang telah menjadi target, hasil dari Nmap tools dapat dilihat pada Gambar 5.8 berikut.

Gambar 5.8 Informasi yang didapat setelah menggunakan Nmap Tools 5.3. Analisis Data Vulnerability, Hasil Scanning dan information gatehering Pada tahapan ini dapat dilakukan analisis vulnerability dengan data awal berupa report hasil dari scanning vulnerability pada portal website BAPPEDA Kota LubukLinggau yang dapat dilihat pada table 5.1.

Tabel 5.1. Data Hasil Scanning Vulnerability pada Portal WEB BAPPEDA Kota LubukLinggau

No

WEB Target

Whois domain

Tools Builtwith Nmap

Hasil Scanning/ Information Gathering 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14.

√

1

http://sipr.lubuklinggaukota.go.id

1. 2. 3. 4. 5.

√

6. 7.

√

2

http://report.lpse.lubuklinggaukota.go.id √

1. 2. 3. 4. 5. 6. a.

Domain Name IP Location ASN

: LUBUKLINGGAUKOTA.GO.ID : Jakarta Raya – Jakarta – Rumahweb : AS58487 RUMAHWEB-AS-ID Rumahweb Indonesia CV. Server Type : Apache/2.2.29 OpenSSL/1.0.1e-fips mod_bwlimited/14 mod. Admin ID : baidil-65833 Admin Name : Baidillah Sangkut Admin Organization : Pemerintah Kota Lubuklinggau Admin Street1 : Jl Garuda No. 10 Admin Street2 : Jl Agung No. 31 Admin City : Lubuklinggau Admin State / Province : Sumatera Selatan Admin Postal Code : 31615 Admin Phone : +62.73332258 Admin Email : [email protected] Server Type : Apache 2.2 Frameworks : Codelgniter, PHP JavaScript Libraries : jQuery, Fancybox, jQuery Mousewheel Mobile : Viewport Meta Document Information :HTML5 DocType, Meta Description, Twitter, Bootstrap, Cascading Styke Sheets, Javascript Encoding : UTF-8 Server Information : Ubuntu. 22/tcp (SSH) 53/tcp (Domain) 80/tcp (Http) 443/tcp (Https) 5432/tcp (Postgresql) 8080/tcp (http-proxy) Registrar : CV RUMAHWEB INDONESIA

b.

c. d. e. f. g. h. i. j. k. l. a. b. c.

√

√

a. b. c. d. e. f. g. h. i.

j.

Name Server(s) : NS1.BAPPEDA LUBUKLINGGAU.NET (has 1 domains) NSID2.RUMAWEB.NET (has 275 domains) NSID3.RUMAHWEB.BIZ 9has 6 domains) NSID4.RUMAHWEB.ORG Domain Name : LUBUKLINGGAUKOTA.NET Registrant Abuse Contact Email : [email protected] Registrant Abuse Contact Phone : +62.274882257 Admin Name : Hadi Sanjaya Admin Organization : appedaotaubuklinggau Admin City : Jl. Garuda No. 10 Kelurahan Kayuara Admin City: Lubuklinggau Admin State / Province : Sumatera Selatan Admin Postal Code : 31616 Admin Email: [email protected] Frameworks : Play Frameworks. JavaScript Libraries : JQuery 1.6.2, JQuery UI dan jqPlot. Document Informatio : HTML5 DocType, Cascading Style Sheets, Javascript. 21/tcp (ftp) 22/tcp (SSH) 52/tcp (Domain) 80/tcp (http) 110/tcp (POP3) 143/tcp (imap) 443/tcp (https) 631/tcp (ipp) 993/tcp (imaps) 995/tcp (POP3s)

BAB VI PEMBAHASAN HASIL

6.1

Pembahasan (Evaluasi) Dari hasil scanning vulnerability pada portal website Monitoring dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang

(SIPR) terdapat kerentanan yang di timbukan karena adanya Software Error, Security Error dan Human Error sebagai berikut : Tabel 6.1. Tabel perbandingan vulnerability pada portal website Monitoring dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang (SIPR) di sebabkan Software Error No

Jenis Kerentanan

1

Insecure CrossOrigin Resource Access Control

2

SQL Injection

SPSE Keterangan

SIPR Keterangan

High

Tidak ditemukan kerentanan.

http://sipr.lubuklinggaukota.go.id/print_proxy/canvas.php, tehnik yang umum digunakan para attacker ialah dengan merubah coding header pada laman website guna menambahkan cross domain sebagai phising site.

High

http://121.100.28.196/report/applicati on/login, dengan menggunakan tools Sqlmap pada kali linux atau Havij pada windows. Attacker dapat melakukan exploitasi database serta remote server untuk mengambil hak ases penuh.

Tidak ditemukan kerentanan.

Level

3

Cross Side Scripting

4

Session Cookie Without HttpOnly Flag

5

Session Cookie Without Secure Flag

High

Tidak ditemukan kerentanan.

http://sipr.lubuklinggaukota.go.id/ map/do_print, dengan menggunakan tools XSSER. Attacker dapat melakukan exploitasi pada laman website untuk membuat phising site login bagi administrator.

High

http://121.100.28.196/report, dengan memanfaatkan Java Script. Attacker dapat melakukan phising site untuk mendapatkan user dan password administrator.

http://sipr.lubuklinggaukota.go.id, dengan memanfaatkan Java Script. Attacker dapat melakukan phising site untuk mendapatkan user dan password administrator.

High

Tidak ditemukan kerentanan.

http://sipr.lubuklinggaukota.go.id, untuk dapat memanfaatkan kerentanan ini di butuhkan teknik dan pengalaman dari attacker pada umumnya attacker dapat memanfaatkan coding script pada website untuk di gunakan sebagai phising site atau lainnya untuk mendapatkan user dan password administrator.

http://sipr.lubuklinggaukota.go.id/contact/save_form, tidak terdapat tools maupun teknik yang pasti untuk kerentanan ini tergantung dari pengalaman attacker.

http://sipr.lubuklinggaukota.go.id/map/do_print, tidak terdapat tools maupun teknik yang pasti untuk kerentanan ini tergantung dari pengalaman attacker.

6

Application Error Massage

Medium

http://121.100.28.196/report/applicati on/login, tidak terdapat tools maupun teknik yang pasti untuk kerentanan ini tergantung dari pengalaman attacker.

7

Application Error Disclosure

Medium

Tidak ditemukan kerentanan.

8

X-content-typeoptions header missing

9

User credentials are sent in clear text

Low

Low

http://121.100.28.196/report/public/j avascripts/akunting.js, dengan memanfaatkan tools MIME-Sniffing attacker dapat menangkap packet data yang berjalan untuk akses login pada website. http://121.100.28.196/report/applicati on/loginpage, dengan memanfaatkan tools metasploit, ettercap attacker dapat melakukan teknik sniffing attack untuk masuk kedalam web server.

http://sipr.lubuklinggaukota.go.id/contact/form_fill, dengan memanfaatkan tools MIME-Sniffing attacker dapat menangkap packet data yang berjalan untuk akses login pada website.

http://sipr.lubuklinggaukota.go.id/manage/auth/login, dengan memanfaatkan tools metasploit, ettercap attacker dapat melakukan teknik sniffing attack untuk masuk kedalam web server.

Tabel 6.2. Tabel perbandingan vulnerability pada portal website Monitoring dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang (SIPR) di sebabkan Security Error

No

Jenis Kerentanan

1

Cleartext password over http

2

From password field with autocomplete enabled

Level

SPSE Keterangan

SIPR Keterangan

High

http://121.100.28.196/report/application/lo ginpage, Dengan menggunakan tools sniffing attack yang terdapat pada kali linux seperti metasploit. Attacker dapat menangkap aliran packet data yang sedang berjalan guna melakukan otentikasi login pada website.

http://sipr.lubuklinggaukota.go.id/manage/auth/login, Dengan menggunakan tools sniffing attack yang terdapat pada kali linux seperti metasploit. Attacker dapat menangkap aliran packet data yang sedang berjalan guna melakukan otentikasi login pada website.

Medium

http://121.100.28.196/report/application/lo ginpage, masih dengan menggunakan teknik sniffing guna mendapatkan informasi sebagai otentikasi login attacker kedalam website.

http://sipr.lubuklinggaukota.go.id/manage/auth/login, masih dengan menggunakan teknik sniffing guna mendapatkan informasi sebagai otentikasi login attacker kedalam website.

3

4

5

6

Local filesystem paths found

Backup files

Source code disclosure

Password autocomplete in browser

Tidak ditemukan kerentanan.

http://sipr.lubuklinggaukota.go.id/info, untuk memanfaatkan kerentanan ini di butuhkan pengalaman serta kemampuan attacker. Kerentanan ini umumnya menampilkan layout filesystem root.

Tidak ditemukan kerentanan.

http://sipr.lubuklinggaukota.go.id/map/show/10.000, dibutuhkan pengalaman serta kemampuan lebih bagi attacker untuk melakukan eksekusi pada kerntanan ini. Umumnya keretanan ini menampilkan backup file yang terdapat pada web server.

Medium

Tidak ditemukan kerentanan.

http://sipr.lubuklinggaukota.go.id/manage/auth/login, di butuhkan pengalaman serta kemampuan lebih attacker untuk memanfaatkan kerentanan ini. Umumnya kerentanan ini menampilkan informasi sensitif seperti string database dan logika aplikasi yang berjalan pada website.

Low

http://121.100.28.196/report/application/lo ginpage, pada umumnya kerentanan ini dapat di eksekusi dengan serangan sniffing attack guna menangkap informasi sensitif seperti username dan password administrator.

http://sipr.lubuklinggaukota.go.id/manage/auth/login, pada umumnya kerentanan ini dapat di eksekusi dengan serangan sniffing attack guna menangkap informasi sensitif seperti username dan password administrator.

Medium

Medium

7

Directory listing detected

Low

Tidak ditemukan kerentanan.

http://sipr.lubuklinggaukota.go.id/print_proxy/, umumnya dengan menggunakan tools Dirbuster attacker dapat melakukan serangan pada directory website guna mendapatkan data-data penting website.

Tabel 6.3. Tabel perbandingan vulnerability pada portal website Monitoring dan Reporting SPSE LPSE dan Sistem Informasi Penataan Ruang (SIPR) di sebabkan Human Error

No

Jenis Kerentanan

1

SVN respository found

2

Web browser xss protection not enbaled

SPSE

SIPR

Keterangan

Keterangan

Medium

Tidak ditemukan kerentanan.

http://sipr.lubuklinggaukota.go.id/themes/default_admin/settin g, untuk memanfaatkan kerentanan ini di butuhkan kemampuan dan pengalaman lebih attacker guna menampilkan informasi subversi pada folder direktori.

Low

http://121.100.28.196/report/public/jav ascripts/akunting.js, dengan memanfaatkan kode java script seperti cookie stealling, url redirection attacker dapat mengambil informasi sensitif website.

http://sipr.lubuklinggaukota.go.id/assets/ico/favicon.png, dengan memanfaatkan kode java script seperti cookie stealling, url redirection attacker dapat mengambil informasi sensitif website.

Level

3

Apache mod_negotiation filename bruteforcing

4

Login page passwordguessing attack

5

Possible sensitive directories

Low

Low

Low

tidak terdapat tools maupun teknik khsusus untuk melakukan teknik exploitasi pada kertanan ini. Umumnya data informasi yang di hasilkan berupa file direktori, backup maupun bruteforcing yang terdapat pada web server. http//121.100.28.196/report/applicatio n/login, dengan menggunakan tools brutus attacker dapat melakukan serangan bruteforce untuk mendapatkan informasi username dan password pada website. Tidak ditemukan kerentanan.

tidak terdapat tools maupun teknik khsusus untuk melakukan teknik exploitasi pada kertanan ini. Umumnya data informasi yang di hasilkan berupa file direktori, backup maupun bruteforcing yang terdapat pada web server.

http//sipr.lubuklinggaukota.go.id/manage/auth/proc_login, dengan menggunakan tools brutus attacker dapat melakukan serangan bruteforce untuk mendapatkan informasi username dan password pada website. http://sipr.lubuklinggaukota.go.id/phpmyadmin, umumnya teknik yang di pakai attacker dapat merubah source code pada website guna membuat phising login site bagi user dan administrator.

6.2

Learning (Pembelajaran) Peneliti telah melakukan Action taking dan Action Evaluating, maka peneliti akan

melakukan pembelajaran dari tahap sebelumnya untuk menutup lubang celah hasil vulnerability pada portal SPSE dan SIPR sebagai berikut : 1.

Pada SPSE dan SIPR ditemukan kerentanan yang berbahaya berupa SQL Injection yang disebabkan tidak difilternya karakter-karakter seperti (‘) atau (-) yang dapat diinjeksi pada url yang rentan. ClearText Password Over HTTP dan Password AutoComplete in Browser yang disebabkan otentikasi login admin yang tidak memanfaatkan fitur HTTPS yang merupakan SSL terenkripsi. Session Cookie Without Secure Flag dan Session Cookie Without HttpOnly Flag merupakan cookie yang didapat dari hasil interaksi client dan server yang memungkinkan terdapat informasi admin. Insecure Cross-Origin Resource Access Control di sebabkan terbukanya “Cross-domain” pada halaman website target dan juga memudahkan attacker untuk berbagi data dengan web server. Cross Site Scripting(XSS), Web Browser XSS protection not enabled, X-content-type-options Hidder Missing yang disebabkan oleh diizinkannya injeksi script java yang menyebabkan perubahan pada script. Aplication Error Massage yang disebabkan adanya error aplikasi yang terdapat web server.

2. Perbaikan vulnerability telah dilakukan seperti SQL Injection dengan memfilter injeksi query SQL dengan menambahkan perintah interger (int), sedangkan ClearText Password Over HTTP dan Password AutoComplete in Browser dengan menggunakan fitur HTTPS sebagai otentikasi login admin, serta menghapus fitur secara AutoComplete pada web server, Session Cookie Without Secure Flag dan Session Cookie Without HttpOnly Flag dengan menggunakan Java, Net, Phyton, PHP serta firewall yang diperuntukkan aplikasi yang berjalan pada web server, Insecure Cross-Origin Resource Access Control dengan management “Access-Control-Allow-Origin” pada lama header website, Cross Site Scripting(XSS), Web Browser XSS protection not enabled, X-content-type-options Hidder Missing dengan memfilter karakter-karekter seperti <, > dengan menambahkan perintah htmlentities, Aplication Error Massage dengan dengan melakukan tinjauan ulang pada coding script serta aplikasi yang terdapat pada website.

BAB VII SIMPULAN DAN SARAN

7.1

Kesimpulan

1. Setelah melalui serangkaian proses penetration testing terhadap vulnerability yang ada dengan menggunakan beberapa tools. Namun hasil yang didapat belum begitu maksimal, dikarenakan ada beberapa faktor yang mempengaruhi vulnerability tersebut seperti, pada HTTP Request. .

7.2

Saran Beberapa yang harus dihindari hari hal yang tidak diinginkan terhadap web server

pada saat melakukan penetration testing, diantaranya: 1. Mengontrol HTTP Request dengan memfilter atau mmenyembunyikan metode PUT dan DELETE dari user tanpa autentikasi. 2. Melakukan perbaikan terhadap Script Connection pada form yang terdapat dalam website. 3. Mengaktifkan SSL pada form login guna melindungi password yang diinputkan pada form login website.

DAFTAR PUSTAKA

Alnaqieb, Rami, Alshammari, Fahad H., Zaidan, M.A., Zaidan, A.A., Zaidan, B.B, Hazzah, dan Zubaidah M. (2010). Extensible Markup Language Technology. Jurnal Of Computing, Volume 2. Diakses 27 Januari 2015, dari http://arxiv.org/ftp/ arxiv/papers/1006/1006.4565.pdf/ Bacudio, G. Aileen, Yuan Xiaohong Chu, Bei-Tseng Bill dan Jones, Monique. (2011). An Overview Of Penetration Testing. International Journal of Network Security & Its Applications

(IJNSA),

Vol.3,

No.6.

Diakses

24

Januari

2015,

dari

http://airccse.org/journal/nsa/1111nsa02.pdf/ Basuki, Murya Arief. (2009), Analisa Website Universitas Muria Kudus. Vol. 02 No.02. Diakses

16

Oktober

2014,

dari

http://eprints.umk.ac.id/

78/1/ANALISA_WEBSITE.pdf/ Budiawan. (2010). Aplikasi Gis Berbasis Web Menggunakan Geoserver Pada Sistem Informasi Trafo Gardu Induk DI PLN Surabaya. Diakses 14 Januari 2015, dari http://digilib.its.ac.id/public/ITS-Undergraduate-9799-Paper.pdf/ Engebretson, Patrick. (2011). The Basic Of Hacking And Penetration Testing (Etical Hacking And

Penetration

Testing

Made

Easy).

Diakses

17

Oktober

2014,

dari

http://upload.evilzone.org/download.php?id=5060855&type= zip/ Gretzinger, Robert. Java Cryptography Extension. Diakses 13 Januari 2015, dari http://www.rjug.org/presentations/2002/may/JavaCryptographyExtension.pdf/ Heriyadi, Danang. (2013). Web Penetration Testing And Vulnerability Assessment. Hat Secure Training And Consulting For Security Specialist. Diakses 17 Oktober 2014, dari

http://www.slideshare.net/theneoz/

workshop-101-penetration-testing-

vulnerability-assessment-system/ HP ProLiant DL380p Generation8 (Gen8) (2013). Diakses 25 Januari 2015, dari http://h20195.www2.hp.com/v2/GetPDF.aspx/4AA3-9615ENW.pdf/

ID-SIRTII. 2014. Ancaman Di Balik Rapor Merah Cyber Crime Indonesia. [Online]. Diakses 21 Oktober 2014, dari http://idsirtii.or.id/berita/baca/83/ ancaman-di-balikrapor-merah-cyber-crime-indonesia.html/ Karaarslan, Enis, Tuglular, Tugkan dan Sengonca, Halil. (2006). Does Network Awareness Make Difference In Intrusion Detection of Web Attacks. Diakses 25 Januari 2015, dari http://www.karaarslan.net/bildiri/ Karaarslan_2006_ICHIT_DoesWebSecurityMakeDifference.pdf/ Kaur, Amanpreet dan Saluja, Monika. (2014). Study Of Network Security Along With Network Security Tools And Network Simulator. (IJCSIT) International Journal of Computer Science and Information Technologies Vol. 5 (1). Diakses 15 Februari 2015,

dari

http://www.ijcsit.com/docs/

Volume%205/vol5issue01/ijcsit2014050119.pdf/ Kemenristek. Modul 2 OpenGeo dan Ina-Geoportal. Diakses 15 Januari 2015, dari http://www.debindo-mks.com/tot-gis-os-ristek/MODUL-2-OpenGeo-dan-InaGeoportal.pdf/ Kunang, Yesi Novaria, Fatoni, Muklis dan Sa’uda, Siti. (2013). Vulnerability Assessment Dan Penetration Testing Pada Content Management System. Skripsi Informatika, Universitas Bina Darma. Kunang, Yesi Novaria, Ibadi, Taqrim dan Suryayusra. (2013). Celah Keamanan Sistem Autentikasi

Wireless

Berbasis Radius. Diakses 22 September 2014, dari

http://journal.uii.ac.id/index.php/Snati/article/view/3059/ Liverani, Marco. (2005). Unix: Introduzione elementare Guide Introduttiva Al Sistema Operativo Unix Per Principianti. Seconda Edizione. Diakses 25 Januari 2015, dari http://www.aquilante.net/unix/manuale-unix.pdf/ Parteva. (2011) Maltego Version 3 User Guide. Diakses 24 Januari 2015, dari http://www.paterva.com/malv3/303/M3GuideGUI.pdf/ Putri, Winda Rizky. (2012). Artikel Mengenai Pemrograman Web. Diakses 15 Januari 2015, dari http://ilmukomputer.org/wp-content/uploads/2012/10/ winda-pemrograman web.pdf/

Qaisi, Ahmed. (2011). Network Forensics and Log Files Analysis: A Novel Approach to Building a Digital Evidence Bag and Its Own Processing Tool. University of Canterbury Department of Computer Science and Software Engineering. Diakses 4 Januari

2015,

dari

http://ir.canterbury.

ac.nz/

bitstream/10092/5999/1/thesis_fulltext.pdf/ Rahardjo, Budi. (2002). Keamanan Sistem Informasi Berbasis Internet. Diakses 10 November

2014,

dari

http://server0.unhas.ac.id/tahir/BAHAN-

KULIAH/TEK.%20JARINGAN%20KOMPUTER%20-%20TE/jaringan-dansekuriti/budirahardjo-keamanan.pdf/ Rietta. (2001). Whois Web Think Out Site The Box. Diakses 16 Oktober 2014, dari https://rietta.com/whoisweb/manual.pdf/ Silva, Joao Emilio S B da dkk. (2010). WebSphere Application Server V7 Competitive Migration

Guide.

Diakses

19

Januari

2015,

dari

http://www.redbooks.ibm.com/redbooks/pdfs/sg247870.pdf/ Sitorus, Eryanto dan Ismayadi, Andi. (2005). Teknik Proteksi Preferent Pribadi Sebelum Penetrasi Terjadi. Surabaya. Indah Surabaya. Sitorus, Eryanto. (2004). Tehnik Penetrasi Kemampuan Hacker Untuk Menguji Sekuriti. Surabaya. Indah Surabaya. Sugiana, Owo. (2001). Open Source Campus Agreement Modul Pelatihan Sql Dengan Postgres.

Diakses

27

Januari

2015,

dari

http://bebas.ui.ac.id/v14/

v01/TimPandu/postgres-single-A4.pdf/ Syaifudin, Yan Watequlis. (2010). Perencanaan Arsitektur Dan Implementasi Corporate Portal Akademik Untuk Perguruan Tinggi (Studi Kasus Politeknik Negeri Malang). Diakses 16b Oktober 2014, dari http://digilib.its.ac.id/public/ITS-Master-15030-Abstract_id.pdf/